rsyslog wyklucza dzienniki oparte na nazwie hosta

Mamy skonfigurowany serwer rsyslog do przekazywania wiadomości do naszego pudełka Splunk. Chcemy jednak przejść przez część hałasu, dlatego stworzyliśmy specjalne programy, które nie będą brane pod uwagę. Więc zasadniczo, jeśli logi są dhcpd, upuść. Przekaż wszystko inne.

if $programname != 'dhcpd' then @@0.0.0.0:514

Czy istnieje sposób na wykluczenie pewnych nazw hostów na podstawie słów w tych nazwach hostów. Na przykład:

hostname-ABC1.log <--- exclude
hostname2-ABC1.log <--- exclude
reghostname <---- keep and forward

Wersja 5.8.10

Najlepiej byłoby pobrać dzienniki do Splunk, a następnie upuścić swój UniversalFowarder lub Indexer. Znacznie łatwiej jest to dostosować za pomocą Splunk, a następnie modyfikując rsyslog. Możesz to zrobić za pomocą rekwizytów i transformacji.

Ustaw, czego potrzebujesz props.conf A później transforms.conf

Chciałbym użyć wyrażenia regularnego.

W twoich props.conf:

[source::udp:514]
TRANSFORMS-drop_hosts = drop_ABCHOSTS

W twoim pliku transforms.conf:

[drop_ABCHOSTS]
SOURCE_KEY = Metadata:Host
REGEX = ABC1\.log
DEST_KEY = queue
FORMAT = nullQueue